˄˅

Структура на скрипта на услугата

В първия ред от заглавката на скрипта можете да намерите информация за версията на модула (ev), версията на GUI (gv) и версията на регистрационния файл (lv). Можете да използвате тези данни за проследяване на възможни промени в .xml файла, който генерира скрипта, както и за предотвратяване на всякакви несъответствия по време на изпълнението му. Тази част от скрипта не трябва да се променя.

Останалата част от файла е разделена на раздели, в които елементите могат да се редактират (отбележете онези, които ще се обработват от скрипта). Елементите се маркират за обработване чрез замяна на знака "–" в предната част на елемента със знака "+". Разделите в скрипта са разделени един от друг с празен ред. Всеки раздел има номер и заглавие.

01) Процеси за изпълнение

Този раздел съдържа списък с всички стартирани в системата процеси. Всеки процес е обозначен с уникален UNC път, както и с CRC16 хеш код със звездички (*).

Пример

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

В този пример е избран процес, module32.exe, (маркиран със знака "+"); който ще завърши при изпълнение на скрипта.

02) Заредени модули

В този раздел са описани текущо използваните системни модули.

Пример

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

В този пример модулът khbekhb.dll е маркиран със знака "+". Когато скриптът се стартира, той ще разпознае процесите, използващи този модул, и ще ги прекрати.

03) TCP връзки

Този раздел съдържа информация за съществуващите TCP връзки.

Пример

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Когато скриптът се стартира, той ще открие притежателя на сокета в маркираните TCP връзки и ще спре сокета, освобождавайки системни ресурси.

04) UDP крайни точки

Този раздел съдържа информация за съществуващите TCP крайни точки.

Пример

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Когато скриптът се стартира, той ще изолира притежателя на сокета в маркираните UDP крайни точки и ще спре сокета.

05) Записи в DNS сървъра

Този раздел съдържа информация за текущата конфигурация на DNS сървъра.

Пример

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Маркираните записи в DNS сървъра ще се премахнат при стартиране на скрипта.

06) Важни записи в системния регистър

Този раздел съдържа информация за важни записи в системния регистър.

Пример

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

Маркираните записи ще се изтрият, ще се намалят до стойност 0 байта или ще се възстановят стойностите им по подразбиране при изпълнение на скрипта. Действието, което трябва да се приложи към даден запис, зависи от категорията на съответния запис и стойността на ключа в конкретния регистър.

07) Услуги

В този раздел са описани услугите, регистрирани в системата.

Пример

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

Маркираните услуги и зависимите от тях услуги ще бъдат спрени и деинсталирани при изпълнение на скрипта.

08) Драйвери

В този раздел са описани инсталираните драйвери.

Пример

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

При изпълнение на скрипта избраните драйвери ще бъдат спрени. Имайте предвид, че някои драйвери няма да позволят да бъдат спрени.

09) Критични файлове

Този раздел съдържа информация за файловете, които са критично важни за правилното функциониране на операционната система.

Пример

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

Избраните елементи ще се изтрият или ще се възстановят оригиналните им стойности.

10) Планирани задачи

Този раздел съдържа информация за съществуващите планирани задачи.

Пример

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅